justinjudefernandes/Attack-Emulation-and-SOC-Investigation-Using-Microsoft-Security-Tools
GitHub: justinjudefernandes/Attack-Emulation-and-SOC-Investigation-Using-Microsoft-Security-Tools
基于 Atomic Red Team 和 Microsoft Defender for Endpoint 的攻击模拟与 SOC 调查实战项目,用于练习威胁检测、警报分类和事件响应技能。
Stars: 0 | Forks: 0
# 使用 Microsoft 安全工具进行攻击模拟与 SOC 调查
## 🎯 目标:
本项目的目标是通过在 Windows 11 环境中部署 Atomic Red Team 并执行基于 MITRE ATT&CK 的攻击模拟,获得对手模拟和端点检测的实践经验。项目重点在于验证 Microsoft Defender for Endpoint 的检测能力,分析生成的安全警报,调查恶意行为,并加强 SOC 分析师在威胁检测、事件调查和端点响应方面的技能。
## 📊 项目概述:
本项目重点是在 Windows 11 虚拟机上部署和配置 Atomic Red Team,以模拟映射到 MITRE ATT&CK 框架的真实世界对手技术。执行了多个攻击场景,包括注册表 Run Key 持久化 (T1547.001)、密码猜测 (T1110.001) 和 PowerShell 执行 (T1059.001),以验证 Microsoft Defender for Endpoint 内的检测能力。
在模拟之后,我调查了生成的安全警报,分析了端点遥测数据,审查了进程和注册表活动,并执行了事件分析以确定检测的根本原因。本项目提供了使用 Microsoft 安全技术进行对手模拟、威胁检测、警报分类、事件调查以及端点检测与响应 (EDR) 操作的实践经验。
### 🧰 使用的工具:
- Atomic Red Team
- Windows PowerShell
- Windows 11
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- MITRE ATT&CK Framework
- Windows Registry Editor
- Microsoft Defender Security Portal
### 🛡️ 培养的技能:
- 对手模拟
- 攻击模拟与验证
- 端点检测与响应 (EDR)
- 威胁检测与分析
- 警报分类与调查
- 事件响应
- 威胁狩猎
- PowerShell 分析
- 注册表持久化分析
- MITRE ATT&CK 映射
- 端点遥测分析
### 📁 关键交付物:
- Atomic Red Team 的部署与配置
- MITRE ATT&CK 攻击模拟
- 注册表 Run Key 持久化测试 (T1547.001)
- 密码猜测模拟 (T1110.001)
- PowerShell 执行模拟 (T1059.001)
- Microsoft Defender 警报验证
- 威胁调查报告
- 事件响应文档
- 检测分析与发现
- 安全建议与修复措施
## 🔍 执行步骤:
### Atomic Red Team 安装:
- 在执行模拟之前,我配置了我的 Windows 11 实验环境。
- 将虚拟机的 C:\ 驱动器从 Microsoft Defender Antivirus 中排除,以防止其干扰攻击模拟。
- 使用 PowerShell 安装了 Atomic Red Team,并下载了包含数百种 MITRE ATT&CK 技术的完整 Atomic 测试库。
#### 关键活动:
- 安装了 Invoke-AtomicRedTeam PowerShell 模块
- 下载了 Atomic Red Team 测试用例
- 将 PowerShell Execution Policy 修改为 RemoteSigned
- 验证了 C:\AtomicRedTeam\atomics 下 Atomic 测试库的安装情况
📌 截图:Atomic Red Team 的安装与配置
### ⚔️ 攻击模拟:
#### 1) 持久化模拟 – MITRE ATT&CK T1547.001
- 技术:Registry Run Keys / Startup Folder
- 通过修改 Windows 注册表 Run Keys 模拟了持久化机制,允许程序在用户每次登录时自动执行。
#### 展示的技能:
- 攻击模拟
- 持久化技术
- 基于注册表的威胁分析
- Microsoft Defender 警报验证
📌 截图:T1547.001 的执行与生成的警报
#### 2) 密码猜测模拟 – MITRE ATT&CK T1110.001
- 技术:Brute Force / Password Guessing
- 模拟了重复的身份验证尝试,以模仿账户入侵尝试中常见的密码猜测活动。
#### 展示的技能:
- 身份攻击模拟
- 身份验证监控
- 检测验证
- 安全警报调查
📌 截图:T1110.001 的执行与 Defender 检测结果
#### 3) PowerShell 执行模拟 – MITRE ATT&CK T1059.001
- 技术:PowerShell
- 执行了基于 PowerShell 的命令,旨在模拟攻击者行为并触发端点检测机制。
#### 展示的技能:
- 命令执行分析
- PowerShell 威胁检测
- 端点遥测调查
- MITRE ATT&CK 映射
📌 截图:T1059.001 的执行与生成的警报
## 🚨 SOC 调查报告:可疑的 PowerShell 命令行:
### 事件概述:
- 警报名称:可疑的 PowerShell 命令行
- 首次活动:2026 年 6 月 19 日 – 14:53:39 (UTC +04:00)
- 最后活动:2026 年 6 月 19 日 – 15:36:06 (UTC +04:00)
- 受影响端点:Windows11
- 用户:jenny
- 严重程度:高
- 检测源:Microsoft Defender for Endpoint
- MITRE ATT&CK 技术:T1059.001 – PowerShell
- 类别:执行
在检测到 Windows 11 端点上的可疑 PowerShell 相关活动后,Microsoft Defender for Endpoint 生成了高严重性警报。调查显示执行了一个修改 Windows 注册表 Run key 的命令,通过配置应用程序在用户登录时自动启动来建立持久性。
### 失陷指标 (IOC):
- 注册表修改:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 执行的命令:
- cmd.exe /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Atomic Red Team" /t REG_SZ /F /D "C:\Path\AtomicRedTeam.exe"
- 涉及的进程:
- powershell.exe
- cmd.exe
- 持久化机制:
- 注册表 Run Key 持久化 (MITRE ATT&CK T1547.001)
### 调查摘要:
2026 年 6 月 19 日 UTC+04:00 时间 14:53:39,Microsoft Defender for Endpoint 生成了“可疑的 PowerShell 命令行”警报,该警报归类于 Execution 战术下,并映射到 MITRE ATT&CK 技术 T1059.001 – PowerShell。
对端点遥测数据的分析发现,执行了一个修改当前用户配置文件中 Windows 注册表 Run key 的命令。此修改创建了一种持久化机制,旨在用户登录期间自动启动可执行文件。
基于注册表的持久化是一种常见的对手技术,用于在系统重新启动和用户会话之间保持访问权限。在授权的安全测试和对手模拟练习中,也可能观察到此类活动。
进一步分析证实,触发警报的原因是创建了与 Atomic Red Team 活动相关的 Run key 条目,导致 Microsoft Defender 将该行为归类为可疑,并赋予了高严重性评级。
📌 证据截图:
### 分类 (5W1H 分析):
#### 谁:
- 用户:jenny
- 端点:Windows11
- 进程:powershell.exe 和 cmd.exe
- 检测源:Microsoft Defender for Endpoint
#### 什么:
- 生成了高严重性的“可疑 PowerShell 命令行”警报。
- 注册表 Run key 被修改以建立持久化。
- 通过 Windows 启动机制配置了自动执行。
#### 何时:
- 首次活动:2026 年 6 月 19 日 – 14:53:39 (UTC +04:00)
- 最后活动:2026 年 6 月 19 日 – 15:36:06 (UTC +04:00)
#### 何地:
- 端点:Windows11
- 注册表位置:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
#### 为什么:
- 旨在通过用户登录期间的程序自动执行来建立持久化。
- 通常与对手持久化行为和红队模拟相关的技术。
#### 如何:
- PowerShell 活动触发了 Defender 的检测逻辑。
- 调查发现了修改 Run 注册表键的 cmd.exe 进程。
- 该持久化机制将 Atomic Red Team 配置为在用户登录时自动执行。
- Microsoft Defender 由于基于注册表的持久化行为而标记了此活动。
### 🛑 响应措施:
- 验证了该活动是否已授权并与 Atomic Red Team 测试相关。
- 在调查期间隔离了受影响的端点。
- 删除了已识别的 Run key 条目及相关可执行文件。
- 跨环境针对类似指标进行了威胁狩猎。
- 审查了 Microsoft Defender 和 Windows 事件日志以查找相关活动。
- 执行了完整的端点扫描并修复了已识别的威胁。
- 在需要时重置了用户凭证并撤销了活动的会话。
### 💡 建议:
- 启用全面的 PowerShell 日志记录和监控。
- 对基于注册表的持久化技术实施增强监控。
- 针对 PowerShell 滥用和启动持久化机制调整 EDR 检测规则。
- 定期进行威胁狩猎,以查找未经授权的 Run key 修改。
- 加强端点加固控制,以减少持久化机会。
- 定期通过对手模拟练习验证检测能力。
### 🧠 经验教训:
- 注册表 Run Keys 仍然是一种常见且有效的持久化机制。
- PowerShell 活动提供了攻击者行为的重要指标。
- EDR 遥测能够快速识别与持久化相关的活动。
- MITRE ATT&CK 映射提高了调查的准确性和威胁分类。
- 对手模拟练习有助于验证检测和响应能力。
- 早期的遏制措施降低了持久化和横向移动的风险。
### ⚔️ 攻击模拟:
#### 1) 持久化模拟 – MITRE ATT&CK T1547.001
- 技术:Registry Run Keys / Startup Folder
- 通过修改 Windows 注册表 Run Keys 模拟了持久化机制,允许程序在用户每次登录时自动执行。
#### 展示的技能:
- 攻击模拟
- 持久化技术
- 基于注册表的威胁分析
- Microsoft Defender 警报验证
📌 截图:T1547.001 的执行与生成的警报
#### 2) 密码猜测模拟 – MITRE ATT&CK T1110.001
- 技术:Brute Force / Password Guessing
- 模拟了重复的身份验证尝试,以模仿账户入侵尝试中常见的密码猜测活动。
#### 展示的技能:
- 身份攻击模拟
- 身份验证监控
- 检测验证
- 安全警报调查
📌 截图:T1110.001 的执行与 Defender 检测结果
#### 3) PowerShell 执行模拟 – MITRE ATT&CK T1059.001
- 技术:PowerShell
- 执行了基于 PowerShell 的命令,旨在模拟攻击者行为并触发端点检测机制。
#### 展示的技能:
- 命令执行分析
- PowerShell 威胁检测
- 端点遥测调查
- MITRE ATT&CK 映射
📌 截图:T1059.001 的执行与生成的警报
## 🚨 SOC 调查报告:可疑的 PowerShell 命令行:
### 事件概述:
- 警报名称:可疑的 PowerShell 命令行
- 首次活动:2026 年 6 月 19 日 – 14:53:39 (UTC +04:00)
- 最后活动:2026 年 6 月 19 日 – 15:36:06 (UTC +04:00)
- 受影响端点:Windows11
- 用户:jenny
- 严重程度:高
- 检测源:Microsoft Defender for Endpoint
- MITRE ATT&CK 技术:T1059.001 – PowerShell
- 类别:执行
在检测到 Windows 11 端点上的可疑 PowerShell 相关活动后,Microsoft Defender for Endpoint 生成了高严重性警报。调查显示执行了一个修改 Windows 注册表 Run key 的命令,通过配置应用程序在用户登录时自动启动来建立持久性。
### 失陷指标 (IOC):
- 注册表修改:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 执行的命令:
- cmd.exe /c REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Atomic Red Team" /t REG_SZ /F /D "C:\Path\AtomicRedTeam.exe"
- 涉及的进程:
- powershell.exe
- cmd.exe
- 持久化机制:
- 注册表 Run Key 持久化 (MITRE ATT&CK T1547.001)
### 调查摘要:
2026 年 6 月 19 日 UTC+04:00 时间 14:53:39,Microsoft Defender for Endpoint 生成了“可疑的 PowerShell 命令行”警报,该警报归类于 Execution 战术下,并映射到 MITRE ATT&CK 技术 T1059.001 – PowerShell。
对端点遥测数据的分析发现,执行了一个修改当前用户配置文件中 Windows 注册表 Run key 的命令。此修改创建了一种持久化机制,旨在用户登录期间自动启动可执行文件。
基于注册表的持久化是一种常见的对手技术,用于在系统重新启动和用户会话之间保持访问权限。在授权的安全测试和对手模拟练习中,也可能观察到此类活动。
进一步分析证实,触发警报的原因是创建了与 Atomic Red Team 活动相关的 Run key 条目,导致 Microsoft Defender 将该行为归类为可疑,并赋予了高严重性评级。
📌 证据截图:
### 分类 (5W1H 分析):
#### 谁:
- 用户:jenny
- 端点:Windows11
- 进程:powershell.exe 和 cmd.exe
- 检测源:Microsoft Defender for Endpoint
#### 什么:
- 生成了高严重性的“可疑 PowerShell 命令行”警报。
- 注册表 Run key 被修改以建立持久化。
- 通过 Windows 启动机制配置了自动执行。
#### 何时:
- 首次活动:2026 年 6 月 19 日 – 14:53:39 (UTC +04:00)
- 最后活动:2026 年 6 月 19 日 – 15:36:06 (UTC +04:00)
#### 何地:
- 端点:Windows11
- 注册表位置:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
#### 为什么:
- 旨在通过用户登录期间的程序自动执行来建立持久化。
- 通常与对手持久化行为和红队模拟相关的技术。
#### 如何:
- PowerShell 活动触发了 Defender 的检测逻辑。
- 调查发现了修改 Run 注册表键的 cmd.exe 进程。
- 该持久化机制将 Atomic Red Team 配置为在用户登录时自动执行。
- Microsoft Defender 由于基于注册表的持久化行为而标记了此活动。
### 🛑 响应措施:
- 验证了该活动是否已授权并与 Atomic Red Team 测试相关。
- 在调查期间隔离了受影响的端点。
- 删除了已识别的 Run key 条目及相关可执行文件。
- 跨环境针对类似指标进行了威胁狩猎。
- 审查了 Microsoft Defender 和 Windows 事件日志以查找相关活动。
- 执行了完整的端点扫描并修复了已识别的威胁。
- 在需要时重置了用户凭证并撤销了活动的会话。
### 💡 建议:
- 启用全面的 PowerShell 日志记录和监控。
- 对基于注册表的持久化技术实施增强监控。
- 针对 PowerShell 滥用和启动持久化机制调整 EDR 检测规则。
- 定期进行威胁狩猎,以查找未经授权的 Run key 修改。
- 加强端点加固控制,以减少持久化机会。
- 定期通过对手模拟练习验证检测能力。
### 🧠 经验教训:
- 注册表 Run Keys 仍然是一种常见且有效的持久化机制。
- PowerShell 活动提供了攻击者行为的重要指标。
- EDR 遥测能够快速识别与持久化相关的活动。
- MITRE ATT&CK 映射提高了调查的准确性和威胁分类。
- 对手模拟练习有助于验证检测和响应能力。
- 早期的遏制措施降低了持久化和横向移动的风险。标签:AI合规, ATT&CK框架, Conpot, OpenCanary, TGT, Windows安全, 安全运营中心(SOC), 攻防演练, 终端检测与响应(EDR)